消金APP隐私权限调查(一):兴业消金不给权限不让用变相强制访问通讯录

来源：金融观察团

原标题：消金APP隐私权限调查(一): 兴业消金不给权限不让用 变相强制访问通讯录

伴随消费金融、互联网金融飞速发展，金融类APP多次爆出用户隐私泄露等侵害事件，成为消费者和监管部门重点的关注。

最新消息是，3月15日，央行官方微信以图片形式点名了八大类金融套路，其中之一就是“被泄露的个人信息”。

此前央视“3?15晚会”就提到，大部分手机上的APP在使用前，都必须强迫用户同意自己的定位、麦克风、照相机等权限可以被APP使用。除此之外，部分APP还存在窃取个人隐私等有害行为。

近期，金融观察团将在消费金融领域内开展《消金APP隐私权限调查》系列报道，首先从持牌消费金融机构旗下的IOS版本借贷APP开始，针对不给权限不让用、强制读取通讯录、是否允许销号三项业内主要关注点进行调查，还原行业现状。首期研究的对象，是兴业消费金融旗下的“空手到”APP（IOS）版。

持牌机构也照样：不给权限不让用

金融观察团下载兴业消费金融的借款平台“空手到”APP后，打开APP，页面就显示，“APP需要读取以下权限才能正常使用”，而读取的内容包括六大项：即电话权限、存储权限、定位权限、相机权限、信息权限、通讯录权限，其中通讯录权限包含读取联系人，用户快速录入。

笔者尝试取消蓝色圆框中的“?”，但并不能取消。

点击知晓之后，即出现《空手到应用隐私保护政策》，如果点击 “拒绝”，就显示“如拒绝同意隐私保护政策，将无法使用，请知悉。“

金融观察团又用另一部iPhone手机验证上述权限，显示的结果完全相同，也是不给权限不让用。

值得注意的是，“不给权限不让用“一直是APP违规的重灾区。2020年年初，工信部公布的第二批侵害用户权益行为APP名单，15款APP被要求限期整改。这些APP的问题主要涉及私自收集个人信息、过度索取权限、私自共享给第三方、账户注销难等。其中金融类APP“飞贷”被点名，原因就是“不给权限不让用”。

中闻律师事务所合伙人李亚指出，《网络安全法》明确规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定。因此，金融借贷类APP超出范围强制用户开放通讯录权限、“不给权限不让用”等，是违法违规的。

他表示，侵害个人信息依法得到保护的权利的，可视情节，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

而在注册阶段，《用户隐私协议》显示，兴业消费金融收集的信息更多。在“借款资质审核、信用及偿付能力审核评估”中，显示要收集真实姓名、性别、年龄、身份证信息、联系电话、电子邮箱、婚姻状态、通讯地址、学历信息、职业信息、收入状况、贷款情况、银行账户信息、紧急联系人信息、常用设备信息、人脸识别信息、征信报告信息等。

李亚指出，按照规定，金融借贷类APP最小（必要）权限范围仅有存储权限一项；且当收集的个人信息超出服务类型的最少信息时，超出部分的个人信息，App 应逐项征得用户明示同意。

可以拒绝访问通讯录 但拒绝就没法贷款

强制访问通讯录，是业内深受诟病的一点。在获取借款人通讯录信息后，不少借款机构违规采取“爆通讯录”等催收方式侵害借款人合法权益。

那么，作为持牌消费金融机构的兴业消费金融表现如何？

金融观察团发现，在强制读取通讯录这块，兴业消费金融的设置“绕了个弯子”。根据《用户隐私协议》，消费者可以在设备的设置功能中选择关闭部分或全部权限，来拒绝平台收集个人信息。可以关闭的权限有精准地理定位、短信权限、麦克风、相机、通讯录。

于是，笔者在手机设置里关闭了通讯录、相机权限。

但现实呢？在试图办理贷款时，金融观察团首先要完成实名认证，需要使用到旷视旗下的FACE++人脸识别，就必须开启相机权限。

下一步，若要办理贷款，空手到显示要求填写三个联系人信息，包括朋友、同事等。笔者如果选择“暂不设置”通讯录权限，就根本无法填写联系人的手机号码，“请允许到访您的通讯录（用于联系人快速录入），否则会影响您的后续操作”。但实际情况是，空手到只允许“选择联系人的手机号码”，无法手动输入。

值得注意的是，去年6月，全国信息安全标准化技术委员会发布《网络安全实践指南――移动互联网应用基本业务功能必要信息规范》(下称《规范》)首次明确，金融借贷类APP所收集的必要信息有手机号码、账号信息、身份信息、银行账户信息、个人征信信息、紧急联系人信息、借贷交易记录等七项。其中，“紧急联系人信息”仅限两人，用于逾期不还情况下进行催款，且应允许手动输入，而非强制读取通讯录。

笔者咨询了兴业消费金融的客服人员，多次强调不让读取通讯录不给用问题（已录音）。该客服人员要求笔者提供身份证号、姓名、所在单位等个人信息。并表示，空手到那边的话，是需要选择“开放信息”才能办理，后续办贷款必须填写联系人信息。

此外，该工作人员还指出，要办理贷款并不是仅仅线上提供信息即可，线上只是做一个预约申请，客户经理会联系笔者，线下还要提供半年稳定的工作收入证明、代发工资流水、公积金等信息。

李亚对金融观察团表示，在通讯录非为金融借贷类APP采取用户个人信息必要范围的情况下，用户拒绝读取通讯录就无法办理贷款，是变相的强制用户开放通讯录权限、强制采取用户个人信息的行为，同样是违反相关规定的。

客服称可以销号 三个工作日内处理

根据兴业消费金融的隐私设置，消费者可以联系400电话协助进行账户注销。注销账户后，兴业消费金融将停止提供服务。除法律法规另行规定外，兴业消金将删除消费者个人信息或对其进行匿名化处理。

于是，金融观察团向兴业消费金融客服人员提出了空手到APP销号请求。其客服人员表示，确定可以销号。可以帮忙登记，三个工作日内会有后台人员联系办理销号。

至于三个工作日内有没有客服人员联系笔者、能不能确认销号，笔者将继续跟踪报道。

根据聚投诉的投诉信息，兴业消费金融投诉量投诉量371条，解决率77.9%。而最近的一次投诉，就是“网爆通讯录对我的父母亲人朋友”，且显示在“处理中”。

兴业消费金融是经中国银监会批准成立的全国性消费金融公司， 2014年12月23日正式成立。根据其官方网站，截至目前，已在泉州、福州等地区设立30家一级事业部，并在50多个城市展业，业务半径基本覆盖我国经济发达地区。

根据媒体报道，兴业消费金融主要依靠线下直销团队“上门收件、亲核亲访”来展业。截至2019年上半年，其线下业务贷款余额230.39亿元，在总贷款余额中占比81.75%。

金融观察团认为，鉴于隐私权问题是金融APP的通病，作为持牌消金机构，兴业消费金融的隐私保护问题相对于很多金融科技机构确实严密一些，比如客服表示可以销号。此前我们报道的飞贷就无法销号（飞贷APP违规被点名：一经注册无法注销 被投诉年利率超36%），且近日还没媒体爆出至今未整改。但作为持牌机构，更需要承担起保护消费者权益的重任，合规运行，在行业内形成表率。

庆幸的是，隐私侵害愈加严重的背景下，监管机构针对APP的规范行动持续深化。根据北京商报统计，从2019年7月-2020年1月，相关部门针对App违规收集个人信息，至少进行了7次公开点名，且每次都有知名App在列。

在金融领域，还央行下发了《关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》。《通知》要求加强移动金融客户端应用软件安全管理，并同时下发了《移动金融客户端应用软件安全管理规范》。

李亚律师表示，我国目前有多部相关法律法规以及规范性文件来保护用户个人信息，譬如《刑法》、《民法总则》、《消费者权益保护法》、《网络安全法》、《电子商务法》；但是立法相对分散、惩罚规则也并不完善。建议应细化相应的公民个人信息使用标准，规范目前的灰色地带，加大侵害公民个人信息行为的惩罚力度。

—-

编译者/作者：镭射看点

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。